- 우당탕탕 Cloud 구축과 운영/아키텍트 방법론

[Cloud 인프라 아키텍트 방법론] 랜딩존 구성 원칙

오돌오돌 오돌뼈 2022. 12. 12. 17:04
반응형

- CSP전환에서의 Landing Zone

Onpremise에서 Cloud Platform으로 전환 시, 실행 측면에서 가장 먼저 해야 할 일은 무엇일까? 바로 자원이 구성될 Landing Zone을 구성하는 것이다. 우선 Landing Zone이란 자원들이 구성되는 환경을 의미한다. 구독의 구조부터, 네트워크 자원 등 CSP의 자원 영역뿐만 아니라 자원 생성의 일관성, 자원 생성 시 이름 등 관리적인 측면까지 포함한다.
초기에 Landing Zone이 구성되고 나면, 나중에 Landing Zone을 수정하기 어려울 수 있기 때문에 초기 구성시에 아주 신중하게 고려해야 한다. 자원이 구성되고, 운영모드에 돌입하고 변경이 진행되려면 아주 큰 비용이 소모되기 때문이다. 예를들면 Azure환경에서 처음 생성된 자원명은 변경이 불가능하다. 처음에 일관성 없는 자원명으로 생성되면 변경이 불가하고, 재생성해야 한다. 또한 CSP자원들의 일부 옵션들은 초기 생성 시에만 설정이 가능하고, 생성된 후에는 변경이 안 되는 옵션도 있기 때문에, 초기 아키텍처 구성할 때 미리 고려해두어야 한다.
Landing Zone을 구성할 때, 고려해볼만한 기본적인 구성 원칙은 다음과 같다.

(1) 일관성

. 자원 배포를 Template으로 수행해야한다. 자원이 일정한 조건으로 관리, 배포하기 위해서는 Template을 사용하여 구성해야 한다. Template화 될 경우, 생성하는 사람에 따른 일관성을 유지 할 수 있으며, 생성의 편의성도 높일 수 있다.
. 자원을 표준화시켜야 한다. 자원의 배포지역, 상품, 타입, 옵션, Tag등에 대한 규칙을 생성하여, 자원을 표준화할 수 있다. 특히 Tag를 통해 자원의 특성, 용도 등을 정보를 추가하여 자원관리에 도움을 줄 수 있다.
. 서버내 APP 배포 가이드를 생성해야 한다. 서버에 설치될 Application구성, HA배포에 대한 기준 및 가이드를 설정함으로써, 단순 CSP에서의 일관성 뿐만 아니라, 내부 구성에서의 일관성도 유지할 수 있다. 특히 OS의 골든 이미지를 사용하면, 큰 공수를 덜 수 있다.

(2) 비용

. 대부분의 CSP에서 비용처리의 기준은 계정 혹은 구독이다. 이에 비용에 대한 관리체계를 확립하기 위해서는 Account의 구성을 미리 생각해야 한다. 예를 들면 AWS의 경우, 최 상단의 Payer Account를 두고, 하단에 Linked Account를 통해 Savings Plan이나 RI에 대한 이점을 둘 수 있다.
. 또한 여러 부서에서 CSP 자원을 사용한다면, 구독과 Account기준으로 나누어 부서별 비용관리가 가능하다.
. 여러개의 CSP를 동시에 사용할 경우에는 각 CSP에서 Tagging이라는 기능이 있기 때문에 해당 Tagging을 통해 일관성 있게 자원 및 비용관리를 수행할 수 있다.

(3) 보안

. 인터넷 구간과 통신되는 자원에 대한 관리를 해야한다. 인터넷과 통신되지 않는 자원의 경우 불필요하게 인터넷과 통신되지 않도록, 자원을 분리하여 구성하는 것이 좋다.
. 이에 대한 연장선으로 Public IP, Private IP에 대한 관리 및 배포기준을 만들어 철저하게 관리해야 한다.
. 특히 내부 Onpremise존과 연결되는 구간이 있다면, 가급적 해당 구간은 인터넷존과 분리하는 것이 좋다. Onpremise존이 인터넷에 노출될 수도 있다.

(4) 기타 항목

. 일관성과 비슷한 내용이긴 하지만, Terraform혹은 Cloud Formation, Powershell을 통해 배포를 관리하는 것이 좋다. 특히 Terraform은 여러 CSP에서도 사용할 수 있기 때문에 관리의 이점을 활용하기 위해서는 활용하는 것이 좋다.
. CSP Portal의 경우, 인터넷에서 접근이 언제든 가능하기 때문에, Portal 사용자 계정, IP에 대해서는 철저히 관리해야 한다. 최근 해킹 사례가 많은 만큼 계정이 노출될 경우, 과도한 자원 생성으로 피해를 입을 수도 있다.

Landing Zone은 CSP환경의 뼈대이다. 반드시 깊이 고려하고, 체계를 확립하여 만들어야 추후에 고생하지 않을 수 있다.
이다음엔 VNET, VPC구성의 기준 형태에 대해서 알아보도록 하자.

반응형